CERN - ST Division CERN-ST-2000-026 February, 2000 IDENTIFICATION DES FONCTIONS ET DES CONTRAINTES PRINCIPALES LIES LA RALISATION DES SYSTMES DE SRET DU LHC E. Cennini Rsum Dans la perspective de la spcification des systmes de sret du LHC (systmes de contrle daccs et de verrouillage des faisceaux), les tudes actuelles consistent identifier les contraintes et les performances pour la dfinition des diffrentes fonctions requises. Du concept daccs aux ouvrages souterrains du LHC et de lexprience acquise dans la ralisation et lexploitation de systmes de sret dcoulent les spcifications des fonctions implanter au niveau des couches Equipement, Contrle et Supervision. Les fonctions des systmes de sret sont soumises un nombre lev de contraintes et doivent satisfaire des critres de performances prcis. Le prsent document a pour objectif didentifier les fonctions et les contraintes principales, de les classer selon leur nature, dexprimer certains critres de performance et enfin de dcrire leur impact sur les fonctions requises au niveau des couches nonces ci-dessus. De cette analyse dcouleront des propositions concrtes lies larchitecture et la composition des systmes de sret ainsi qu lexploitation du systme de contrle daccs du LHC. Presented at the 3 rd ST Workshop Chamonix, France, January 25 - 28, 2000 1 INTRODUCTION Le concept daccs au LHC [1] dfinit un cheminement travers quatre zones (fig. 1) dont les risques intrinsques dterminent les caractristiques des contrles effectuer. SITES / BTIMENTS DE SURFACE DU LHC ZONES SOUTERRAINES NON VERROUILLEES DU LHC ZONES SOUTERRAINES VERROUILLEES DU LHC TUNNELS / EXPERIENCES DU LHC AC3 = ID + FB + VP3 + DO AC2 = ID + FB + VP2 AC1 = ID + FB AC0 = ID ACx - Accs Cont!"# $% t&'% x c()*# $% cont!"% ") + ID + D#t%nt,on $% ") c)t% -)*n#t,./% CERN 0n/-#o $1ID%nt,2,c)t,on CERN3 FB + D#t%nt,on $/ $os,-t% '%sonn%" 02,"--4)$*%3 VPx + D#",5)nc% $1/n #"#-%nts '%sonn%" $% 5%o/,"")*% $% ") -)c(,n% )ssoc,# 6 "1ACx DO + D#t%nt,on $/ Dos,-t% O'#)t,onn%" 0%n 2onct,on $%s t&'%s $% ,s./%s3 Figure 1 : Concept daccs et classification des ouvrages souterrains du LHC. Pour spcifier les systmes de sret du LHC, la dmarche adopte consiste recueillir les contraintes intrinsques et dfinir les critres de performances requis pour chaque zone identifie dans le concept ci-dessus. Elle aboutit ainsi la spcification des fonctions requises au niveau des systmes de contrle daccs et de verrouillage des faisceaux. 2 IDENTIFICATION ET CLASSIFICATION DES CONTRAINTES 2.1 Caractristiques des utilisateurs Toute personne travaillant pour le compte de lOrganisation doit possder sa carte daccs nominative, non transmissible, dlivre par les Services Administratifs (AS) conformment la Circulaire Oprationnelle No. 2. Laccs aux ouvrages souterrains du LHC ncessite la dtention dun film- badge ainsi que des autorisations spcifiques dlivres via lAuthorization Management System - AMS. 2.2 Contraintes organisationnelles 2.2.1 Gestion oprationnelle de projet Le projet LHC utilise une gestion oprationnelle de projet [2] dont lorganisation des relations entre le client et le fournisseur identifie des rles prcis (fig. 2). Conceptuellement, pour la partie client, le Matre dOuvrage - MO achte le produit et peut arrter le projet tout moment ; le Matre dOuvrage dlgu - MOd est le directeur du projet, il dfinit le jalon final du projet et exprime les attentes des utilisateurs. Pour la partie fournisseur, le Matre dOeuvre - ME est financirement responsable du bon achvement du projet et peut allouer des moyens supplmentaires aprs en avoir convenu avec le MO ; le Matre dOeuvre dlgu - MEd est le chef de projet, il est en contact rgulier avec le MOd pour assurer ladquation de la fourniture ou du service implant par les contributeurs. 2.2.2 Organisation tablie pour le sous-projet de fourniture des systmes de sret du LHC Le sous-projet de fourniture des systmes de sret du LHC touche une partie importante de lorganisation du projet LHC en plus de lidentification des besoins lis laccs. En effet, afin de dfinir les interfaces du systme de verrouillage des faisceaux, il est impratif didentifier les scnarios darrt de lacclrateur. 2 Ce systme doit offrir des fonctions de scurit du matriel, cest pourquoi les services et les groupes de travail de lacclrateur lui-mme sont reprsents comme des utilisateurs des systmes de sret. Les contributeurs impliqus dans la fourniture des systmes de sret du LHC appartiennent divers services du CERN tels que ST-EL pour lalimentation des systmes et pour les rseaux de communication audio, IT pour les rseaux de communication etc Etats membres Etats non membres Conseil du CER Instituts internationau! Collaborations Communaut" internationale de la #$%si&ue CER Dire'teur ("n"ral )* E+ans ,ana-ement Board Comit"s ).C (rou#es de tra+ail /tilisateurs C",%nt Fo/n,ss%/ C$e0 de Di+ision 12 (rou#e 123AA C$e0 du sous3#ro4et Fourniture des s%st5mes de s6ret" du ).C E&ui#e #ro4et 123AA Corres#ondants 12 Autres ser+i'es CER AI7( PRO8E2 ).C 1O/13PRO8E2 1%st5mes de s6ret" M)7t% $1O/5)*% - MO M)7t% $1oE/5% - ME M)7t% $1O/5)*% $#"#*/#- MO$ Ut,",s)t%/s M)7t% $1oE/5% $#"#*/# - ME$ 0'o8%t LHC3 Cont,4/t%/s 0Po8%t LHC3 Ut,",s)t%/s 0S&st-%s $% s9%t#3 M)7t% $1O/5)*% - MO 0s&st-%s $% s9%t#3 C",%nt Fo/n,ss%/ M)7t% $1oE/5% - ME M)7t% $1oE/5% $#"#*/# - ME$ M)7t% $1O/5)*% $#"#*/#- MO$ Cont,4/t%/s 0S&st-%s $% s9%t#3 Figure 2 : Organisation pour la gestion oprationnelle du projet des systmes de sret au sein du projet LHC. 2.3 Contraintes INB Bien que le LHC, du point de vue INB, ne souffre daucune comparaison avec le LEP, les recommandations mises pour les systmes de sret du LEP constituent des indications et des contraintes importantes pour le design des systmes du LHC savoir : - les signaux redondants des Elments Importants de Sret doivent imprativement tre achemins par des voies physiques indpendantes tout au long de larchitecture des systmes de sret, - dans le cas de lutilisation dautomates programmables dans la ralisation dun systme de sret, ceux-ci doivent tre auto-contrls, - le redmarrage de lacclrateur doit tre prcd par une signalisation Faisceaux imminents. 2.4 Contraintes dexploitation Une contrainte importante pour le systme de contrle daccs du LHC rside dans labsence de mode libre. En clair, laccs aux zones verrouilles du LHC est contrl en permanence. Les maintenances corrective et prventive doivent se drouler sans empcher laccs contrl lacclrateur. Une caractristique de haute disponibilit est donc requise au niveau des points daccs. En mode machine les systmes de sret doivent garantir le verrouillage de tous les zones et surtout larrt immdiat de linjection et de la circulation des faisceaux dans le cas dun accs intempestif par activation dun dispositif de passage durgence. La caractristique de haute scurit simpose donc au niveau des organes de contrle ddis la sret. 3 2.5 Contraintes environnementales Lorsque les faisceaux circulent, les perturbations radiologiques, magntiques, lectromagntiques engendres par lacclrateur constituent des contraintes non ngligeables pour la protection des quipements de lacclrateur. Au sein des systmes de sret ces contraintes sont dautant plus critiques que les pannes, conscutives une altration occasionne par ces perturbations, entranent larrt de lacclrateur et sont susceptibles dendommager des quipements importants de la machine. 2.6 Contraintes de ralisation 2.6.1 Contrainte gographique Tout comme pour le LEP, les distances parcourir ainsi que le nombre de signaux acheminer constituent des contraintes importantes notamment pour larchitecture du rseau de contrle li la scurit de par le fait que les signaux des systmes de sret doivent tre achemins jusquau systme dinterverrouillage localis en salle de contrle. 2.6.2 Contrainte topologique La configuration des ouvrages souterrains du LHC et la concentration des EIS-accs dans les sections droites reprsentent galement des contraintes pour larchitecture de contrle locale lie la sret et celle lie lexploitation. 2.6.3 Contraintes matrielles Les principales contraintes pour les quipements daccs dcoulent des considrations suivantes : - laccs par rafales du personnel et du matriel (pics de sollicitation des quipements daccs), - lemprise de la machine au sein des tunnels du LHC et la ncessit doctroyer un passage encombrement minimum pour les vhicules de levage, - verrouillage mcanique fiable et rsistant des portes/grilles daccs. 2.6.4 Contrainte de conception systme Afin de rduire au minimum la probabilit de dfaillance des systmes de sret du LHC, lexprience acquise ainsi que lanalyse de sret des systmes du LEP ont dmontr que seul lacheminement redondant de signaux boucle de courant cbls et scurit positive offre les meilleures performances. Cette caractristique implique lutilisation de systmes dautomatisation haute disponibilit et haute scurit. Lalimentation secourue de ces systmes doit galement tre prise en considration. 2.6.5 Contrainte lie linstallation et la validation des quipements machine Dans le planning dinstallation du LHC, une phase de test dinjection des faisceaux est prvue ds le dbut de lanne 2004. En consquence, des systmes de sret provisoires devront tre mis en service pour les sites et les EIS-machine concerns. 3 IDENTIFICATION ET CLASSIFICATION DES FONCTIONS PRINCIPALES 3.1 Architecture et fonctions principales des systmes de sret Larchitecture des systmes de sret se dcline suivant trois couches distinctes : - la couche Equipement correspond au procd contrler, en loccurrence il sagit de tous les EIS (accs et machine) du LHC, - la couche Contrle/Communication couvre les lments de gestion et de contrle du procd. Pour les systmes de sret, il est envisag de raliser un rseau industriel bas sur lutilisation dautomates programmables spcifiques. - la couche Supervision, comme son nom lindique, contient le matriel et linfrastructure de communication permettant la supervision et le suivi du procd. 4 Au sein de ces couches, chaque lment constitutif des systmes de sret remplit des fonctions prcises ddies, soit au contrle de laccs, soit au verrouillage des faisceaux. Celles-ci se rpartissent suivant les deux caractristiques principales suivantes : - la sret (tableau 1 en Annexes) garantissant larrt de lacclrateur en cas daccs intempestif et protgeant les quipements de la machine lors de ces arrts durgence. Le dclenchement des commandes de verrouillage de lun des systmes de sret sur lautre doit seffectuer de manire automatique avec un haut niveau de scurit (caractristiques fail-safe, redondance ) ; - lexploitation (tableau 2 en Annexes) du systme de contrle daccs pendant les arrts de la machine pour la supervision des procdures daccs. Labsence de mode libre pour le LHC implique que les fonctions et les quipements daccs soient hautement disponibles notamment pour larrt technique (1 heure daccs par tranches de 24 heures). Les tableaux 1 et 2 en Annexes reprsentent les fonctions des systmes de sret rparties suivant les couches et les caractristiques dcrites ci-dessus. Ces listes de fonctions, non exhaustives, et cette forme de classification aident la spcification des systmes et permettent la vrification ainsi que ltablissement de deux cahiers de recette indpendants, un pour la sret et lautre pour lexploitation. 4 PROPOSITIONS POUR LES SYSTMES DE SRET Lidentification des contraintes ainsi que la dfinition des fonctions requises au niveau des couches Equipement, Contrle et Supervision amnent, au stade actuel des tudes, des propositions concrtes pour les systmes de sret du LHC. Celles-ci concernent aussi bien le concept daccs gnral que la supervision, le contrle et le matriel envisags. Toutes ces propositions seront prsentes pour approbation au matre douvrage et permettront de poursuivre la rdaction des spcifications fonctionnelle et oprationnelle des systmes de sret. 4.1 Distinction accs machine/accs exprience Une premire estimation du nombre dautomates ncessaires la ralisation des systmes de sret dpasse la configuration maximale indique par le constructeur. Il est donc indispensable de revoir larchitecture du rseau de contrle. Dautre part, la proximit de certains EIS-accs de lenveloppe des zones verrouilles avec lacclrateur constitue un risque important pour la scurit du matriel dans le cas dun passage durgence. Cette proximit est essentiellement localise dans les zones de service des expriences accessibles pendant le fonctionnement de lacclrateur. En consquence, il est propos et recommand de structurer le rseau de contrle en distinguant les zones daccs ddies la machine de celles ddies aux cavernes exprimentales. 4.2 Mthode permettant de dfinir les zones de tests du LHC Lidentification des zones de test du LHC dcoule de la mthode propose ci-dessous : - Localiser les quipements machine tester pendant les arrts. - Localiser les lments de contrle des quipements concerns (pour le verrouillage) et dfinir les caractristiques des interfaces (signaux de sret, commandes de verrouillage, signal de prsence de cble, conditions particulires). - Identifier/choisir le point daccs principal et les limites de chaque zone de test (enveloppe). - Rajouter une zone tampon aux limites de la zone de test. - Au cas ou des quipements machine spcifiques localiss dans la zone de test ncessitent un autre type de test, un secteur associ ces quipements doit tre dfini. - Dfinir le mode daccs chaque zone de test (base de donnes restreinte, ). - Identifier les autres besoins. 5 4.3 Supervision centralise/dcentralise De par ltendue et la frquentation prvue du LHC, il est propos une supervision locale (au niveau des sites) des points daccs. Ainsi, une fois la scurit tablie via les cls de scurit centrale du systme dinterverrouillage, des personnes autorises et formes seront en mesure de donner laccs leur caverne exprimentale ou leur zone de test. Ou encore, lors dune dfaillance du rseau de communication, la possibilit de superviser laccs depuis chaque site est un avantage notoire. La dcentralisation de la supervision du systme de contrle daccs est possible du fait quaucune des fonctions lies la scurit ne sont assures par linformatique. 4.4 Organisation des bases de donnes du Personnel pour laccs au LHC Cette organisation dcoule directement de la dfinition des modes daccs. Afin de couvrir lensemble des besoins il est propos dassocier, chaque mode et pour chaque voie/point daccs, une base de donnes ddie (tableau 1). Cette organisation, lourde en premire approche, permettra nanmoins de couvrir les futures restrictions daccs sans modifier les programmes de supervision. Tableau 1 : Distribution des bases de donnes du Personnel pour laccs au LHC. Organisation des bases de donnes du Personnel Zones vrouilles pour laccs ddi la machine Zones vrouilles pour laccs ddi aux expriences Modes daccs du LHC Par voiepoint daccs !s"stmes #C$ et #C%&p' Par point daccs !s"stmes #C%&p' (erm ) *eto Accs interdit Accs interdit (erm Accs interdit Accs interdit +est Accs interdit ou 1 base de donnes Patrouille,urve" 1 Base de donnes 1 Base de donnes ,upervis restreint 1 Base de donnes 1 Base de donnes ,upervis 1 Base de donnes 1 Base de donnes Contr-l automati.ue 1 Base de donnes 1 Base de donnes /ombre de voiepoint daccs ~ 50 ~15 /ombre de 01s ncessaires 200 60 4.5 Systmes dAccs Contrl AC3-p Sur la base des fonctions requises et des contraintes associes ces systmes, la constitution suivante est propose : Systme AC3-p pour laccs ddi la machine : - un intercom et une camra vido pour la procdure daccs, - un moniteur local pour laffichage des modes daccs et pour lassistance lutilisateur, - un sas pour le passage du Personnel contenant : un lecteur de film-badge (insertion manuel), un lecteur dtectant la dtention du dosimtre oprationnel de radioprotection, un systme lectronique de vrification de la prsence dune seule personne dans le sas, un dispositif de passage durgence (en entre/sortie), - une cage daccs quipe dune porte pour le passage du matriel. Systme AC3-p pour laccs ddi aux expriences : - Idem plus un systme de dlivrance de token. Ces systmes seront modulaires afin de sadapter aux diffrentes configurations pour faciliter laccs du personnel et du matriel. 6 4.6 Systmes dAccs Contrl AC2 Sur la base des fonctions requises et des contraintes associes ces systmes, ils proposent deux voies daccs distinctes (disponibilit) constitues des quipements suivants : Systme AC2 pour laccs ddi la machine (par voie daccs) : - un intercom et une camra vido pour la procdure daccs, - un moniteur local pour laffichage des modes daccs et pour lassistance lutilisateur, - un lecteur de film-badge (insertion manuel), - un systme de dlivrance de token, - un sas pour le passage du Personnel contenant : un systme lectronique de vrification de la prsence dune seule personne dans le sas, un dispositif de passage durgence (en entre/sortie), - un sas pour le passage du gros matriel (sas LEP existants remis neuf). Le passage du matriel seffectue selon une procdure daccs prdfinie par lintermdiaire du sas prvu cet effet. La consigne principale de la procdure interdit formellement le passage du personnel via le sas matriel. 5 CONCLUSIONS La ralisation des systmes de sret du LHC ncessite la prise en compte dun nombre important de caractristiques lies au fonctionnement de lacclrateur et surtout la sret du personnel et du matriel. Ces caractristiques requirent la mise en oeuvre de fonctions fiables qui doivent tenir compte de diffrentes contraintes. La composante humaine au sein dun systme de sret demeurant la moins fiable, il est indispensable de concevoir une architecture technique capable de tenir compte des contraintes inhrentes lenvironnement et au fonctionnement dun acclrateur tel que le LHC. Toutefois, trop vouloir liminer les contraintes on risque de changer la fonctionnalit requise. En consquence, la discipline des utilisateurs et des oprateurs du LHC passe par le respect de consignes simples qui compltent efficacement le bon fonctionnement des systmes de sret. Il est noter que ce document est extrait de la Note de Division ST en cours de publication sous la rfrence ST-AA (99003). REFERENCES [1] G. Rau - Rapport prliminaire de sret du LHC. [2] Cours Gestion Oprationnelle de Projet mandat par P. Bonnal et suivi, en particulier par le personnel du Groupe ST-AA. 7 ANNEXES Tableau 1 : Classification et liste des fonctions lies la sret du LHC. SRET DU LHC Fonctions lies la sret (systme har!are a"tonome# L'informatique n'intervient pas pour la sret de l'acclrateur Fonctionnement et oprabilit du systme d'interverrouillage : ~ modules de cls de sret centrales, locales, tests, ~ gestion des rsultantes des chanes de sret, ~ gnration des commandes de verrouillages !"#$% &onne'ion au systme d'interverrouillage : ~ interface avec les automates concentrateurs, ~ caractristiques du systme (cls de sret centrales, cls test )*, ~ modularit+e'tensibilit du systme% $rganisation et gestion des rsultantes de sret : ~ tablissement des chanes de verrouillage principales, locales, tests, ~ les caractristiques des automates concentrateurs ,accs, et ,machine,, ~ paramtrisation+modularit des chanes de verrouillage% -cheminement des rsultantes des systme de sret : ~ identification du cheminement vers le systme d'interverrouillage, ~ interconne'ion avec les concentrateurs ,accs, des sites ad.acents, ~ relayage des rsultantes de sret% $rganisation et gestion des signau' de sret : ~ tablissement des chanes de verrouillage locales et tests, ~ les fonctions lies / la patrouille, au' tests, ~ les caractristiques des automates, ~ gnration des signau' de sret rsultants% $rchitect"re e contr%le&comm"nication ha"te sc"rit -cquisition des signau' de sret par le rseau de contr0le : ~ format et caractristiques des signau' de sret, ~ architecture locale (vers le bas* du rseau de contr0le li / la sret% 1nterfaces hard pour la conne'ion au rseau de contr0le : ~ type d'interface hard2are, ~ caractristiques des borniers (modularit, signaltique*% -cheminement des signau' de sret des "13 : ~ caractristiques des c4bles, ~ caractristiques des botes de .onction% -cquisition des signau' de sret des "13 : ~ dfinition des interfaces hard2are (contacts, systmes,)*, ~ caractristiques des interfaces% 5finition des signau' de sret pour les "13 1dentification des "13 du L6& : ~ liste des interfaces, ~ descriptions fonctionnelle et oprationnelle, ~ topologie, localisation% C ' U C H E
S U ( E R ) * S * ' +
&
D , s C ' U C H E
C ' + T R - L E & C ' . . U + * C $ T * ' + C ' U C H E
E / U * ( E . E + T 8 Tableau 2 : Classification et liste des fonctions lies lexploitation du LHC. E0(L'*T$T*'+ DU LHC Fonctions 1o"r l2e31loitation Fonctions 1o"r l2e31loitation ('1rate"rs# (Utilisate"rs# 7estion, organisation des bases de donnes : ~ bases de donnes associes au mode d'accs, ~ bases de donnes par point d'accs, ~ mise / .our ,en ligne, des bases de donnes% 3upervision des systmes de sret en mode machine : ~ synoptiques gnrau', ~ signalisation des tats de tous les signau' de sret, ~ historique des vnements, ~ gnration des alarmes, ~ assistance au' oprateurs% 3upervision des systmes de sret en mode accs : ~ synoptiques gnrau', ~ signalisation des tats de tous les signau' de sret, ~ historique des vnements, ~ gnration des alarmes, ~ assistance au' oprateurs% 3upervision des procdures d'accs en mode ,supervis+supervis restreint, : ~ procdures associes au' modes d'accs appliqus, ~ autorisation pour la dcentralisation de la supervision% 3upervision des procdures d'accs en mode ,8atrouille+3urvey, : ~ procdures associes au mode d'accs appliqu, ~ autorisation pour la dcentralisation de la supervision% 3upervision des procdures d'accs en mode ,#ests, : ~ procdures associes au mode d'accs appliqu, ~ autorisation pour la dcentralisation de la supervision% 3upervision depuis les salles de contr0le des e'priences : 3upervision locale lies pour l'e'ploitation des points d'accs : ~ gestion des modes d'accs, ~ base de donnes locales, ~ suivi du procd (synoptiques locau', signalisation des modes*, ~ interface 991 pour l'assistance / l'utilisateur, ~ interface 991 pour les procdures et historiques d'accs% ~ liste des prsences, des to:en dlivrs% 3&-5- pour l'interface avec la couche de supervision : ~ caractristiques techniques (protocole, types et format des donnes+fichiers*, ~ caractristiques fonctionnelles (adaptabilit, homognit, fiabilit*, ~ organisation+rpartition du rseau de communication% &heminement des communications .usqu'au' salles de contr0le : ~ architecture du rseau, ~ noeuds de communication, ~ voies de secours% 1nterface avec les rseau' de communication / haut dbit : ~ type d'interface+protocole, ~ mode de fonctionnement, ~ supervision de l'accs au niveau d'un site (accs / la machine*, ~ supervision de l'accs au niveau d'un site (accs / l'e'prience*% &ommunications pour la gestion centrale des "13;accs : &ommunications pour la gestion locale des points d'accs : ~ architecture de communication gnrale, ~ architecture de communication au niveau d'un site, ~ rseau de communication pour l'accs au' e'priences, ~ rseau de communication pour l'accs au' e'priences, ~ rseau de communication pour l'accs / la machine% ~ rseau de communication pour l'accs / la machine% Le rseau de contr0le ddi / l'e'ploitation des points d'accs : ~ gestion des quipements des points d'accs du L6& (-&<, -&=;p*, ~ communication des donnes pour les synoptiques gnrau' et locau', ~ les caractristiques du contr0le et de la communication (disponibilit*, ~ concentrateurs de communications avec les points d'accs% $rchitect"re e contr%le&comm"nication ha"te is1oni4ilit -cquisition des signau' de sret par le rseau de contr0le : ~ format et caractristiques des signau' de sret, ~ architecture locale (vers le bas* du rseau de contr0le li / la sret% 1nterfaces hard pour la conne'ion au rseau de contr0le : ~ type d'interface hard2are, ~ caractristiques des borniers (modularit, signaltique*% -cheminement des signau' de sret des "13 : ~ caractristiques des c4bles, ~ caractristiques des botes de .onction% -cquisition des signau' de sret des "13 : ~ dfinition des interfaces hard2are (contacts, systmes,)*, ~ caractristiques des interfaces% 5finition des signau' de sret pour les "13 1dentification des "13 du L6& : ~ liste des interfaces, ~ descriptions fonctionnelle et oprationnelle, ~ topologie, localisation% C ' U C H E